惡意文件分析工具
工具介紹
capa 檢測可執行文件中的功能。您針對 PE、ELF、.NET 模塊或 shellcode 文件運行它,它會告訴您它認為該程序可以做什么。例如,它可能表明該文件是后門、能夠安裝服務或依賴 HTTP 進行通信。
工具使用針對未知二進制文件 ( suspicious.exe) 運行 capa,該工具報告該程序可以發送 HTTP 請求、通過 XOR 和 Base64 解碼數據、安裝服務并生成新進程。總而言之,這讓我們認為這suspicious.exe可能是一個持久的后門。因此,我們的下一個分析步驟可能是在沙箱中運行suspicious.exe并嘗試恢復命令和控制服務器。通過傳遞-vv標志(非常詳細),capa 準確報告在哪里找到了這些功能的證據。這至少有兩個原因:- 它有助于解釋為什么我們應該相信結果,并使我們能夠驗證結論,并且
- 它顯示了經驗豐富的分析師可以使用 IDA Pro 研究二進制文件中的哪些位置
$ capa.exe suspicious.exe -vv
...
execute shell command and capture output
namespace c2/shell
author matthew.williams@mandiant.com
scope function
att&ck Execution::Command and Scripting Interpreter::Windows Command Shell [T1059.003]
references https://docs.microsoft.com/en-us/windows/win32/api/processthreadsapi/ns-processthreadsapi-startupinfoa
function @ 0x4011C0
and:
match: create a process with modified I/O handles and window @ 0x4011C0
and:
number: 257 = STARTF_USESTDHANDLES | STARTF_USESHOWWINDOW @ 0x4012B8
or:
number: 68 = StartupInfo.cb (size) @ 0x401282
or: = API functions that accept a pointer to a STARTUPINFO structure
api: kernel32.CreateProcess @ 0x401343
match: create pipe @ 0x4011C0
or:
api: kernel32.CreatePipe @ 0x40126F, 0x401280
optional:
match: create thread @ 0x40136A, 0x4013BA
or:
and:
os: windows
or:
api: kernel32.CreateThread @ 0x4013D7
or:
and:
os: windows
or:
api: kernel32.CreateThread @ 0x401395
or:
string: "cmd.exe" @ 0x4012FD
...
capa 使用一組規則來識別程序中的功能。這些規則很容易編寫,即使對于逆向工程新手來說也是如此。通過編寫規則,您可以擴展 capa 識別的功能。在某些方面,capa 規則是 OpenIOC、Yara 和 YAML 格式的混合。
以下是 capa 使用的規則示例:
rule:
meta:
name: hash data with CRC32
namespace: data-manipulation/checksum/crc32
authors:
- moritz.raabe@mandiant.com
scope: function
mbc:
- Data::Checksum::CRC32 [C0032.001]
examples:
- 2D3EDC218A90F03089CC01715A9F047F:0x403CBD
- 7D28CB106CB54876B2A5C111724A07CD:0x402350 # RtlComputeCrc32
- 7EFF498DE13CC734262F87E6B3EF38AB:0x100084A6
features:
- or:
- and:
- mnemonic: shr
- or:
- number: 0xEDB88320
- bytes: 00 00 00 00 96 30 07 77 2C 61 0E EE BA 51 09 99 19 C4 6D 07 8F F4 6A 70 35 A5 63 E9 A3 95 64 9E = crc32_tab
- number: 8
- characteristic: nzxor
- and:
- number: 0x8320
- number: 0xEDB8
- characteristic: nzxor
- api: RtlComputeCrc32
下載鏈接:
鏈接:https://pan.quark.cn/s/01e6d73b416b
項目地址:https://github.com/mandiant/capa
聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。
舉報投訴
-
服務器
+關注
關注
13文章
9723瀏覽量
87407 -
HTTP
+關注
關注
0文章
523瀏覽量
32527 -
分析工具
+關注
關注
0文章
29瀏覽量
5224
原文標題:【藍隊】惡意文件分析工具
文章出處:【微信號:菜鳥學安全,微信公眾號:菜鳥學安全】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
熱點推薦
小米路由器任意文件讀取及遠程命令執行漏洞解析
存在任意文件讀取漏洞和遠程命令執行漏洞,攻擊者通過該漏洞可以獲取服務器權限,導致服務器失陷。 二、漏洞復現 系統首頁地址及頁面顯示如下 ? ?http://xx.xx.xx.xx/cgi-bin
發表于 03-01 15:09
?4321次閱讀
干掉電腦里所有的惡意軟件!![給電腦徹底洗個澡]
干掉電腦里所有的惡意軟件!![給電腦徹底洗個澡]Winlogon.exe被惡意軟件劫持的時候,有些明顯的惡意文件連Unlocker都無法去除(在解鎖的時候系統已經重新啟動了).信不信由你,這個只有
發表于 06-16 13:46
google惡意軟件警告提示怎么處理?
google惡意軟件警告提示怎么處理?google惡意軟件警告處理方法按google說明:如果您檢查過網站并確認網站已恢復安全,便可以提交重新審核的請求:請注意,您需要先驗證網站的所有權,然后才能
發表于 04-27 11:23
基于注冊表Hive文件的惡意程序隱藏檢測方法
研究當今惡意程序的發展趨勢,系統比較了在注冊表隱藏和檢測方面的諸多技術和方法,綜合分析了它們存在的不足,提出了一種基于注冊表Hive文件來進行惡意程序隱藏檢測的方
發表于 12-16 01:14
?19次下載
計算機惡意軟件的危害分析排行
最危險的惡意軟件之一。 在過去的幾個月中,我們讀到過很多關于Necurs僵尸網絡活動的新聞,網絡騙子利用該網絡發送致命的Locky勒索軟件。 Proofpoint 上周的一份報告也指出,在所有通過垃圾郵件傳播的惡意文件中,Locky占97%。 Check Point發布的
發表于 09-20 10:48
?0次下載
HookAds惡意廣告利用Windows漏洞下載惡意軟件負載
近期,將訪客重定向至FalloutExploit Kit的HookAds惡意廣告活動猖獗。工具包經激活后,會嘗試利用Windows的已知漏洞下載DanaBot銀行木馬、“夜賊(Nocturnal stealer)”信息竊取程序以及GlobeImposter勒索軟件等其他
如何使用圖像紋理和卷積神經網絡進行惡意文件的檢測方法
在大數據環境下,針對傳統惡意文件檢測方法對經過代碼變種和混淆后的惡意文件檢測準確率低以及對跨平臺惡意文件檢測通用性弱等問題,提出一種基于圖像紋理和卷積神經網絡的惡意文件檢測方法。首先,
發表于 12-12 16:59
?0次下載
CISA發布惡意軟件分析報告,包含19個惡意文件的詳細細節
當地時間9月15日,美國網絡安全和基礎設施安全局(CISA)發布了一份惡意軟件分析報告(MAR),該報告詳細介紹了19個惡意文件的細節,其中包含有關伊朗黑客使用的Web Shell的技術細節。
基于機器學習的惡意代碼檢測分類
基于特征碼匹配的靜態分析方法提取的特征滯后于病毒發展,且不能檢測出未知病毒。為此,從病毒反編譯文件及其灰度圖出發進行特征提取及融合,采用機器學習中的隨機森林(RF)算法對惡意代碼家族進行分類,提取
發表于 06-10 11:03
?14次下載
VeinMind Tools正式發布 v2.0版本
VeinMind Tools 是基于 VeinMind SDK 打造的一個容器安全工具集,目前已支持鏡像惡意文件、后門、敏感信息、弱口令等掃描功能。此次更新的 v2.0 版本,優化、增添了以下核心亮點功能:
虹科分享|無文件惡意軟件將擊敗您的EDR|終端入侵防御
無文件惡意軟件攻擊大多無法檢測到。它們經過精心設計,可以繞過NGAV、EPP和EDR/XDR/MDR等檢測和響應網絡安全工具。
隨著無文件惡意
工商網監
評論